Auf der Linuxcon in Barcelona hat Christoph Mitasch vom Serverhersteller Thomas Krenn in die leichtgewichtige Virtualisierung mit Linux Containers (LXC) eingeführt.
LXC sei noch nicht produktionsreif, stehe aber kurz davor, räumte der Sprecher zu Beginn ein. Er selbst beispielsweise betreibe einen privaten Server mit zehn Containern. Mitasch fuhr fort mit einer eine Übersicht über Techniken zur leichtgewichtigen Virtualisierung auf Betriebssystem-Ebene wie Open VZ, Linux Vserver, BSD Jails und LXC. Linux Containers verwenden die seit Kernel 2.6.24 vorhandenen Cgroups. Sie können Tasks gruppieren und deren Ressourcenverbrauch begrenzen. Lediglich Disk-Quotas lassen sich damit noch nicht umsetzen. Neben Cgroups benötigen die Container auch Kernel Namespaces, zum Großteil ebenfalls bis Kernel 2.6.24 umgesetzt.
Auf seinem Notebook demonstrierte der Vortragende dann das Setzen von CPU- und Speicher-Begrenzungen im virtuellen Dateisystem unter “/sys/fs/cgroups”. Anschließend ordnete er eine Bash-Shell und deren Kindprozesses einer Gruppe zu. Selbst mit einer Perl-Forkbomb konnte er die dem Container zugeordneten Ressourcen nicht überschreiten. Ein auf dem Hauptsystem laufender Videoplayer spielte ohne Störungen weiter.
Dem folgte die Vorstellung der LXC-Userspace-Tools wie “lxc-create”, “lxc-start” und “lxc-console” samt Optionen und Konfigurationsdateien. Das Kommando “lxc-checkconfig” prüft eine Konfiguration samt den erforderlichen Kernelfeatures. Auch LVM- oder Btrfs-Snapshots eines Containers lassen sich mit der Programmsammlung erzeugen. Ein Ubuntu-Container mit einem 1 GByte großen Dateisystem lässt sich beispielsweise binnen Sekunden einrichten.
Freezing und Checkpointing seien noch nicht besonders weit, berichtete Christoph Mitasch: Im Mainline-Kernel gäbe es nur Unterstützung für Freeze eines Containers, und in seinen Tests habe sich eine eingefrorener Container noch pingen lassen. Zur Migration von Containern eigene der Freeze aber bereits.
Mitasch schloss mit einigen Empfehlungen: LXC-Userspace-Tools seien im Moment besser für die Praxis als Libvirt. Die Tools sollen erst in Version 1.0.0, erwartet für 2013,ein stabiles API erhalten. Er persönlich, gab der Sprecher an, würde derzeit keinem Anwender den Root-Zugang zu einem Linux Container geben, dem er nicht vertraue. Daneben empfiehlt er, das Kernel-Logging innerhalb des Containers abzuschalten, da es ohnehin ein Duplikat sei.
Er habe mit LXC auch schon einen privaten HA-Cluster von zwei Knoten mit Pacemaker, Heartbeat und DRBD umgesetzt, berichtete Mitasch. Er gab eine kurze Anleitung zum Aufsetzen, die demnächst online im Thomas-Krenn-Wiki verfügbar sein wird.
